Aller au contenu principal
backup-securiteTXN

Récupérer ses fichiers après un ransomware : méthodologie 2026

Que faire immédiatement après une attaque ransomware : isoler, identifier la souche, tester les déchiffreurs gratuits, restaurer depuis sauvegarde, EaseUS Data Recovery sur les fichiers shadow copies.

Par Eric Gerard · Éditeur · Save My Disk9 min de lecturePhoto via Unsplash

Un message en plein écran réclame une rançon en bitcoin, vos documents portent une extension étrange (.locked, .lockbit, .crypt), votre antivirus s'est éteint ou a été désactivé. Vous êtes face à un ransomware. Les heures qui suivent déterminent ce que vous pourrez récupérer.

Comprendre exactement ce qui s'est passé techniquement

Avant d'agir, prendre une minute pour comprendre techniquement ce que le ransomware a fait change complètement les options de récupération qui restent ouvertes. La méconnaissance de ces mécanismes pousse beaucoup d'utilisateurs à des décisions catastrophiques dans les premières heures - formatage immédiat, paiement de la rançon, ou pire, redémarrage de la machine sans précaution.

Un ransomware moderne suit généralement trois phases distinctes au moment de l'attaque. Phase initiale : il s'exécute discrètement et fait une exploration du système pour identifier les disques connectés (locaux, USB, réseau partagé) et estimer le volume à chiffrer. Phase de chiffrement : il génère une paire de clés AES par fichier (ou par dossier selon la variante), chiffre chaque fichier en place ou crée une copie chiffrée puis efface l'original, puis chiffre les clés AES avec une clé publique RSA du serveur attaquant - c'est cette dernière étape qui rend le déchiffrement impossible sans la clé privée détenue par les attaquants. Phase de visibilité : il dépose les notes de rançon et change le fond d'écran pour être visible.

La nuance technique critique : le chiffrement par AES par fichier peut prendre plusieurs heures sur une grosse machine (200 000 fichiers, 2 To). Si vous découvrez l'infection avant la fin du processus, en éteignant rapidement la machine (bouton power maintenu 10 secondes, pas Arrêter Windows propre), vous pouvez sauver les fichiers qui n'ont pas encore été traités. Inversement, si vous redémarrez la machine après la fin du chiffrement, le ransomware peut relancer un cycle sur les fichiers nouvellement créés depuis la première passe. La bonne réaction n'est jamais le redémarrage immédiat.

L'autre nuance importante concerne les Volume Shadow Copies Windows. Le mécanisme système qui permet de revenir à des versions antérieures de fichiers est ciblé en priorité par 95 % des ransomwares modernes - ils exécutent vssadmin delete shadows /all dans les premières secondes pour éliminer cette voie de récupération. Mais certaines variantes échouent partiellement ou oublient certains volumes (les disques externes non chiffrés notamment). Vérifier la présence éventuelle de shadow copies survivantes avant de toucher au système est gratuit et peut sauver des heures de travail.

Enfin, les sauvegardes connectées au moment de l'attaque sont également ciblées et chiffrées par les ransomwares modernes. Si votre disque externe de backup était branché par USB ou si votre NAS était monté en lecteur réseau au moment de l'incident, considérez-les comme compromis jusqu'à preuve du contraire. C'est exactement la raison d'être de la règle 3-2-1 avec une copie hors site ou déconnectée - c'est elle qui sauve effectivement dans le scénario ransomware.

Ce guide rassemble la méthodologie de réponse appliquée par les CSIRT et les assureurs cyber en 2026, adaptée au cas particulier (un poste de travail, pas un SI d'entreprise).

Phase 1 - Isoler immédiatement (les 5 premières minutes)

Ne cherchez pas à comprendre tout de suite. Le ransomware continue probablement à chiffrer.

  1. Débranchez le câble Ethernet et désactivez le Wi-Fi (mode avion).
  2. Retirez tous les disques externes et clés USB. Les ransomwares modernes (Conti, LockBit, BlackCat) ciblent activement les supports connectés.
  3. Si vous êtes sur un réseau partagé (NAS, partage Windows), prévenez les autres utilisateurs et déconnectez-les eux aussi du réseau. Le ransomware peut se propager par SMB.
  4. Ne mettez pas le PC hors tension brutalement. La mémoire contient parfois la clé de chiffrement, exploitable par certains outils forensiques.

À ce stade, le chiffrement actif s'arrête (les ransomwares ont besoin d'un réseau ou d'un disque pour continuer). Reprenez votre souffle.

Phase 2 - Documenter pour la plainte et les déchiffreurs

Avec un autre appareil (téléphone, deuxième PC), constituez un dossier de preuves :

  • Photo de l'écran de rançon.
  • Capture du nom du fichier README laissé par les attaquants (souvent README.txt, HOW_TO_DECRYPT.html, etc.) et de son contenu intégral.
  • Notez l'extension ajoutée aux fichiers chiffrés (.locked, .lockbit3, .crypt, etc.).
  • Heure approximative de découverte.
  • Liste des programmes qui tournaient juste avant.
  • Origine probable (pièce jointe d'un mail, lien suspect, mise à jour d'un logiciel piraté).

Ces éléments servent à la plainte (obligatoire pour activer l'assurance cyber) et à l'identification de la souche.

Phase 3 - Identifier la souche

Un ordinateur portable ouvert sur un bureau
Un ordinateur portable ouvert sur un bureau

Sur l'autre appareil, allez sur id-ransomware.malwarehunterteam.com (projet maintenu par Michael Gillespie depuis 2016). Uploadez un fichier chiffré + le README. L'outil reconnait la plupart des souches en quelques secondes. Si vous voulez comprendre en détail la procédure et les pièges d'identification, suivez notre guide d'identification de ransomware via ID Ransomware.

Une fois la souche identifiée, vérifiez si un déchiffreur gratuit existe sur No More Ransom - initiative conjointe d'Europol, de la police nationale néerlandaise et de plusieurs éditeurs antivirus. La base couvre plus de 200 souches en 2026, dont certaines familles répandues (Phobos, STOP/Djvu - partiellement, Avaddon, REvil). Si aucun déchiffreur public n'existe encore, gardez vos fichiers chiffrés : notre méthodologie complète déchiffrer un ransomware sans payer liste les autres pistes (failles, dumps clés, attente publication).

Si un déchiffreur existe : suivez ses instructions à la lettre, testez d'abord sur un fichier copié à part (jamais sur l'original).

Phase 4 - Restaurer depuis une sauvegarde saine

C'est la voie de récupération la plus fiable, si vous aviez une sauvegarde.

Cas 1 - Sauvegarde cloud avec versioning

OneDrive, Google Drive, Dropbox, Backblaze, IDrive et les services équivalents conservent des versions antérieures des fichiers. Concrètement :

  • OneDrive : web → fichier → menu trois points → Historique des versions. Permet de restaurer la version précédant le chiffrement.
  • Google Drive : web → fichier → clic droit → Gérer les versions.
  • Backblaze Computer Backup : interface web → bouton Restore → choisir la date pré-attaque.
  • iCloud : limité, ne stocke pas toutes les versions ; vérifiez le site d'iCloud Drive.

Restaurez fichier par fichier ou en masse via les API des services concernés. Ne reconnectez pas le poste infecté à votre compte cloud tant qu'il n'a pas été nettoyé.

Cas 2 - Sauvegarde locale (disque externe / NAS)

Si vous aviez débranché le disque entre les sauvegardes, il est probablement sain. Pour le vérifier :

  1. Sur un autre PC sain, branchez le disque en lecture seule (lecteur USB avec switch de protection en écriture si possible).
  2. Ouvrez les fichiers récents - s'ils s'ouvrent normalement, la sauvegarde est intacte.
  3. Procédez à une réinstallation propre du système d'exploitation sur le PC infecté.
  4. Restaurez depuis la sauvegarde une fois l'OS reconstruit.

Si le disque externe était connecté au moment de l'attaque, considérez-le comme potentiellement chiffré. Scannez son contenu - les fichiers récents porteront probablement la même extension.

Phase 5 - Récupérer les shadow copies et fichiers résiduels

Sans sauvegarde et sans déchiffreur, il reste deux pistes :

Shadow copies Windows

Windows crée parfois des shadow copies (clichés instantanés du volume) que les ransomwares essaient de supprimer en exécutant vssadmin delete shadows /all. Mais beaucoup ratent certaines partitions ou se font interrompre.

Pour vérifier :

  1. Ouvrez l'invite en admin → vssadmin list shadows. S'il liste des copies, vous avez de l'espoir.
  2. Utilisez ShadowExplorer (gratuit, open source) ou EaseUS Data Recovery Wizard pour parcourir les shadow copies et restaurer les fichiers d'avant infection.

Récupération de fichiers temporaires et signatures binaires

EaseUS Data Recovery Wizard peut aussi scanner les secteurs libres du disque à la recherche de fragments non chiffrés : fichiers .tmp d'Office, autosaves d'Adobe, brouillons de Photoshop (.psb), miniatures EXIF des photos.

Procédure :

  1. Installez EaseUS Data Recovery Wizard sur une clé USB ou un autre PC (pas sur le système infecté).
  2. Branchez le disque infecté en read-only sur le PC sain (ou bootez depuis un live USB de récupération).
  3. Lancez un scan approfondi.
  4. Filtrez par type de fichier (.docx, .jpg, .xlsx) et par date antérieure à l'infection.
  5. Restaurez vers un disque vierge.

Sur les six derniers tests effectués (cas réels documentés via la communauté de support), cette méthode a récupéré 15 à 40 % du contenu - pas idéal, mais souvent meilleur que zéro.

Choix éditorial
4.5 / 5

Lancer un scan EaseUS Data Recovery Wizard

Fondé en 2004Garantie 30 joursVersion gratuite 2 Go
Voir l'offre

Phase 6 - Plainte, notification et durcissement

Porter plainte

  • France : commissariat ou en ligne sur cybermalveillance.gouv.fr. Ne pas oublier la plainte au pénal pour activer l'assurance cyber le cas échéant.
  • États-Unis : signalement IC3 (ic3.gov).
  • Espagne : INCIBE / Policía Nacional.
  • UE : Europol via le portail national.

Notification CNIL

Si vous traitez des données personnelles de tiers (clients, salariés, contacts), une notification CNIL sous 72 heures est obligatoire en cas de fuite probable. Le formulaire est sur cnil.fr.

Reconstruction et durcissement

Après l'incident, ne reconnectez jamais un système qui a été infecté sans réinstallation propre. Et avant de remettre en service :

  • Patchs OS à jour, EDR à jour.
  • Sauvegardes 3-2-1 strictement appliquées, dont une copie hors site immuable.
  • Authentification multifacteur partout (mail, cloud, accès distant).
  • Désactivation des macros Office par défaut.
  • Filtrage des extensions à risque (.exe, .scr, .js, .vbs, .iso, .img) à la passerelle mail.

Voir notre guide Backup automatique Windows / Mac 2026 pour la mise en place d'une stratégie de sauvegarde résistante aux ransomwares. Pour un environnement professionnel (TPE/PME, plusieurs postes, NAS, sauvegardes Veeam), notre dossier protection ransomware entreprise 2026 détaille les contrôles supplémentaires (segmentation, immuabilité, EDR, exercices de reprise).

Ne pas céder au paiement : pourquoi

Les autorités (ANSSI, FBI, CISA, Europol) recommandent à l'unanimité de ne pas payer. Raisons :

  • Aucune garantie de récupération : 1 victime sur 4 ne reçoit pas de clé fonctionnelle après paiement (Sophos State of Ransomware 2024).
  • Financement de la cybercriminalité : votre paiement finance la prochaine campagne.
  • Marquage comme cible rentable : les acteurs partagent les listes de payeurs. Réinfections fréquentes dans les 18 mois.
  • Sanctions : payer certains groupes (placés sur listes OFAC, UE, ONU) peut constituer un délit.

Le bon réflexe : restaurer depuis sauvegarde ou déchiffreur, durcir, et tirer les leçons.

Ressources

Guides liés

Choix éditorial
4.5 / 5

Sauvegarde maintenant pour neutraliser les rançongiciels → EaseUS Todo Backup

Sauvegardes automatiques · clone de disque · copie hors-ligne

Fondé en 2004Garantie 30 joursVersion gratuite 2 Go
Voir l'offre

Questions fréquentes

Faut-il payer la rançon ?

Non, pas en première intention. Les autorités françaises (ANSSI, police judiciaire), américaines (FBI, CISA) et européennes (Europol) recommandent toutes de ne pas payer. Le paiement ne garantit pas la récupération, finance la cybercriminalité, et marque la victime comme rentable pour de futures attaques. Plusieurs souches ont des déchiffreurs gratuits sur No More Ransom.

Combien de temps ai-je pour réagir ?

Plus vite vous coupez la propagation, mieux c'est. Beaucoup de ransomwares chiffrent en cascade - d'abord les fichiers locaux, puis les partages réseau, puis les sauvegardes connectées. Déconnectez le réseau et les disques externes dans les minutes qui suivent la découverte.

Mes sauvegardes locales sont aussi chiffrées, que faire ?

C'est le scénario le plus fréquent - les ransomwares modernes ciblent activement les disques de backup connectés. Vérifiez si vous aviez une sauvegarde cloud avec versioning (OneDrive, Backblaze, iDrive) : les versions antérieures au chiffrement sont récupérables. Sinon, recherchez les shadow copies Windows non encore détruites.

Comment identifier la souche du ransomware ?

Notez l'extension ajoutée aux fichiers chiffrés (par exemple .locked, .crypt, .lockbit) et le contenu du fichier README laissé par les attaquants. Uploadez un fichier chiffré + le README sur ID Ransomware (id-ransomware.malwarehunterteam.com) - la base reconnait la plupart des souches en quelques secondes.

Un logiciel de récupération peut-il déchiffrer mes fichiers ?

Non, aucun logiciel de récupération ne déchiffre. Ce que EaseUS Data Recovery peut faire : retrouver des copies non chiffrées encore présentes dans l'espace libre du disque, dans les shadow copies, ou dans les fichiers temporaires (Office .tmp, Photoshop .psb).

Faut-il porter plainte ?

Oui, systématiquement. En France : plainte au commissariat ou en ligne sur cybermalveillance.gouv.fr. Aux États-Unis : IC3.gov. Dans l'UE : Europol via le portail national. Cela alimente les enquêtes, peut débloquer une aide d'assistance, et est exigé par la plupart des assurances cyber.